Ersetzen von Zertifikaten in vSphere 6.5

Druckfreundlich, PDF & Email

So können Sie Zertifikate in vSphere verwalten 6.5, Wir werden sehen, wie wir das Tool verwenden, das wir haben, um die vCenter Server-Zertifizierungsstelle zu verwalten. Wir müssen die CA, die den PSC bringt, zu einer untergeordneten Einheit unserer eigenen CA der Domäne machen und Zertifikate generieren, denen wir vertrauen und denen nicht einmal die Browser vertrauen werden, und andere Abhängigkeiten. Am Ende des Dokuments sehen wir uns an, wie Sie ESXi- und vCenter-Zertifikate ändern.

 

In diesem Dokument verwenden wir die VMware-Zertifizierungsstelle oder VMCA, die in die vCenter Server Appliance eingebettet ist!

 

vCenter CA als Untergeordneter zu unserer

 

Als erstes muss ein Server in der Rolle einer CA installiert und konfiguriert werden, Wir öffnen die Verwaltungskonsole in Windows und stellen sicher, dass die Vorlage "Untergeordnete Zertifizierungsstelle" in den Vorlagen verfügbar ist.

 

Der Prozess wird in einer vCSA durchgeführt, aber der Prozess unter vCenter mit Windows ist ähnlich, Wir haben das gleiche Tool. Brunnen, wir loggen uns per SSH auf der virtuellen Appliance ein, Wir erstellen einen Ordner, in dem die Zertifikate abgelegt und das Zertifikatsverwaltungstool ausgeführt wird:

[Quellcode]mkdir /root/SSLCerts</p>
/usr/lib/vmware-vmca/bin/certificate-manager[/Quellcode]

 

 

Im Zertifikatsverwaltungstool, Wir drücken "2", um das VMCA-Root-Zertifikat durch unser eigenes zu ersetzen,

 

Optionen:

N – So generieren Sie das Zertifikat nicht mit den Daten in der Konfigurationsdatei.

Wir geben die Zugangsdaten ein von Inserat***********@vs*****.loczum

Und wir geben die Daten des Zertifikats ein, das es uns fragt, und denken daran, den Hostnamen, der dem FQDN entspricht, gut zu schreiben

Und wählen Sie "1", um die CSR zu generieren

 

Wir geben das Verzeichnis an, in dem Sie die Zertifikate ablegen: /root/SSLCerts

Und drücken Sie "2", um den Vorgang zu beenden,

 

Wir verifizieren, was er uns hinterlassen hat, Wir haben eine Datei mit dem privaten Schlüssel und eine weitere mit dem CSR, Wir erstellen eine Katze in der CSR-Datei und kopieren die Zertifikatsanforderung.!

 

Informationen zum Web für die Active Directory-Zertifikatsverwaltung, HTTP (Englisch)://FQDN/CERTSRV normalerweise. Wir gehen zu "Zertifikat anfordern",

 

Wir fügen die CSR ein, die wir kopiert haben, und wählen als Zertifikatsvorlage "Untergeordnete Zertifizierungsstelle" aus & Klicken Sie auf "Senden",

 

Wir müssen auch "das CA-Zertifikat herunterladen" in Base 64, Wir finden es auf der "Startseite" des AD-Zertifikatsportals.

 

Über den Ordner /root/SSLCerts/

[Quellcode]Berühren Sie vmca_signing_cert.cer</p>
Ich sah vmca_signing_cert.cer[/Quellcode]

 

Wir bearbeiten, wie wir sehen können, mit 'vi' eine Datei, in die wir die Zertifikate einfügen müssen, die wir in den vorherigen Schritten generiert haben. Wir fügen zuerst das vCenter-Zertifikat und dann das CA-Zertifikat unserer Domain ein.

Aufgenommen & Wir gehen raus mit :WQ

 

Wir überprüfen die Dateien, die wir haben... Mit 'ls -ll'.

 

Und wir haben den vSphere Certificate Manager erneut gestartet, um den Vorgang abzuschließen und das soeben erstellte Zertifikat zu installieren

[Quellcode]/usr/lib/vmware-vmca/bin/certificate-manager[/Quellcode]

Option "2" zum Ersetzen des VMCA-Root-Zertifikats.

Wir geben einen privilegierten Benutzer ein, In der Regel sind die von Inserat***********@vs*****.loczum

Option "2" zum Importieren des soeben generierten Zertifikats.

Geben Sie die Zertifikatsdatei ein: /root/CertSSL/vmcsa_signing_cert.cer

Geben Sie die Datei mit dem privaten Schlüssel ein: /root/CertSSL/vmcsa_issued_key.key

Y – Um das Zertifikat zu bestätigen und durch dieses zu ersetzen.

 

Und wir warten ein paar Minuten, während der Prozess der Installation des Zertifikats in allen Diensten abgeschlossen ist und sie neu startet, um sie neu zu laden!

 

Wir können überprüfen, ob der Browser keine Fehler mehr ausgibt und das Zertifikat vollständig gültig ist! Wir sehen auch die Zertifizierungskette,

 

Was für ein Auge, Das Zertifikat der untergeordneten Zertifizierungsstelle muss auf allen Computern in der Domäne installiert sein, damit sie ihm vertrauen, oder installieren Sie es manuell, aber mit einem GPO ist es einfacher!

Ersetzen des Zertifikats auf Hosts

 

So ersetzen Sie ein Zertifikat auf einem Host, Wir werden es auf eine sehr einfache Art und Weise tun, Wählen Sie es aus und wählen Sie es aus "Konfigurieren" > "System" > "Zertifikate", Klicken Sie auf "CA-Zertifikate aktualisieren",

 

Wählen Sie "Ja",

 

Und jetzt können wir auf "Erneuern" klicken, um das Zertifikat zu ersetzen!

 

"Ja", um fortzufahren,

 

Wenn wir einen Browser für einen ESXi-Host öffnen, den wir geändert haben, Wir werden sehen können, wie wir ein vollständig gültiges und vertrauenswürdiges Zertifikat haben, wenn es von der VMCA-Zertifizierungsstelle unseres PSC unterzeichnet wurde!

Empfohlene Beiträge

VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen
Blockieren des Zugriffs auf unsere VMware ESXi- und vCSA-Hosts
Lesen
VPN mit Citrix NetScaler II - Anfordern des Zugriffs auf Zertifikate
Lesen
SmartCard-Anmeldungen bei Active Directory
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Nagios - Überwachen von Windows-Leistungsindikatoren

6 Februar de 2018

Sichern der vCenter Server Appliance

14 Februar de 2018